こんにちは。「クロジカサーバー管理」コンサルティングチームの西原です。
WordPressは、CMSとして有名ですがセキュリティ面を知っておかないと大きな被害を被るリスクも存在します。WordPressを活用している方、検討されている方、安全対策に不安がありセキュリティの強化方法を知りたいという方に向けて、WordPressの安全対策について触れていきます。
Webサイトにまつわるセキュリティで最低限注意しておきたい、
最新のサイバー攻撃手法と対応する防御策について要点をまとめた図解解説はこちら
(無料公開中)ホワイトペーパー
「サイバー攻撃の最新手法と防御策とは?〜事例とあわせて解説〜」
目次
WordPressのセキュリティ事情
WordPressのセキュリティは脆弱?
WordPressは、脆弱なセキュリティ面がデメリットとして挙げられます。特に以下の3つはWordPressの弱点といっても過言ではありません。
- 誰でも課金なく活用可能なため安全性に欠ける点
- 世界中の人が活用する認知度を有するプラットフォームである点
- 汎用性の高いプラットフォームなので世界中の人が活用している点
WordPressは、個人の活用から政府関連のウェブサイト制作にまで活用されています。CMSの最大のシェアを誇っているWordPressは、多くの顧客を抱えている反面サイバー攻撃の標的になってしまい、常に危険と隣り合わせの状態です。WordPressはサイトのソースコードを覗くと、どのような構造であるかが判明します。構造を把握すれば、どの部分に弱点があるかを特定できるため、攻撃されるリスクが高まります。つまり、WordPressは認知度が高い反面、操作性も全てが同じであるため弱点を見抜かれやすいことになります。
WordPressの脆弱性が及ぼすリスク
WordPressは「不公平を無くして世界中の人が協力しあい、最良のコンテンツを創作する!」をコンセプトにした構造です。ネット環境とパソコンがあれば、高品質なツールを誰でも利用することができる点は、WordPressの特徴です。本来、課金型CMSの場合は、Webサイト内の構造を覗くことができない仕組みになっています。しかし、WordPressは世界中のユーザーが最良のコンテンツをつくるため、日々改良を重ねて利便性を追求しているので、すべてオープンソース。言い換えれば、WordPressはだれでも簡単に使えるからこそ脆弱な部分を攻撃されやすいです。これらの危険性を軽減するためには、どのような対策をとれば良いか。実際のサイバー攻撃事例とともにご触れていきます。
WordPressのセキュリティが攻撃された事例
プラグインを狙った事例
プラグインを狙った有名な事例として、3年前に起きた事件があります。サイバー攻撃を受けて被害に遭ったウェブページが開かれると、自動的に悪質犯罪ページに誘導されるといった攻撃事例です。対象となったプラグイン内に自動システムがプログラミングされてしまったため、業務に多大なる影響がでました。
大量メール送信プログラムへの攻撃事例
事件の概要は、メール送信プログラムが埋め込まれるという攻撃事例です。WordPressの脆弱なポイントを狙い、不正なプログラムファイルで埋め尽くすサイバー攻撃です。このサイバー攻撃は、被害規模が非常に大きかったため、被害処理に約20日前後もの時間がかかりました。ただ、不幸中の幸いでタイミング良くWebサイトのセキュリティチェックを行なっていた幸運も重なり、悪因子システムを早期発見してくれたお陰で、迷惑メールを多数者に対して送らずに済んだ事例でもあります。
WordPressのセキュリティ診断3選
セキュリティ診断とは、システムなどを調査し、脆弱性や政治目的によるハッキング攻撃など、さまざまなセキュリティリスクを洗い出すサービスです。セキュリティ診断サービスのなかでも、特におすすめする3つのサービスをご紹介します。
Wordfence Security
Wordfence Securityは、自身が使用しているWordPressの全体的な安全性を高めてくれるツールです。ダウンロード後に「スキャン」という言葉が表示されているボタンを押すと、自動で調査スタートしてくれて異常があった場合は知らせてくれる簡単便利ツールです。
WPdoctor
WPdoctorは、WordPressの安全性をオンラインにて調査してくれるツールです。調査方法は、調べてもらいたいサイトのリンクを記入した後に、調査を開始する箇所のボタンを押せば自動で調査をスタートしてくれます。調査ツールによっては外国語での説明書きのツールも存在しますが、WPdoctorに関しては、日本語対応のため英語が苦手な方でも利用可能です。
WPScans.com
WPScans.comは、オリジナル規定に乗っ取って、該当ページが危険にさらされていないかを診断してくれるプラットフォームになります。使用方法は診断してほしいページのリンクを入力した後にスタートボタンを押せば、現在の危険度を詳しくみてくれます。
WordPressのセキュリティ強化方法5選
ユーザー名&パスワードの強化
WordPressの安全性が低い際の特徴として、最初の段階においてハンドル名と利用者名が一致してしまっている状態があります。別々に分けてしまうことでいざという時に忘れてしまう気持ちは分かりますが、ハンドル名と利用者名は分けて利用します。心配な方は、パスワードマネージャーなどサポートアプリを活用するにも方法のひとつです。ちなみに、ここでお伝えしているハンドル名とは、Webサイト運営者の事です。
ハンドル名は、利用者名と別の名前を入力して、下方部に設置されている更新箇所を押します。その後、ページに記載されている名前部分から希望名を選択。更新箇所があるのでそちらを押してください。実際の変化をチェックする必要があるので、投稿箇所を押して一覧を確認します。希望通りの名前で表記されている場合は問題ありません。以後、変更後の名前で表記されることになります。再度変更したい場合は、上述の手順を繰り返し行ってください。
プログラムの最新化
WordPress運用を行うことにより、頻繁にプラグイン箇所などに最新情報を通知してくれる更新マークが記載されるので、都度WordPressを最新の状態に保っておきます。このプログラムの最新化により、WordPress運用で活用する安全性を守ってくれるさまざまなツールのパフォーマンスが向上して、WordPressの安全性が高まります。
不要なプラグインの削除
WordPress運用歴が長くなると活用していないツールはサイバー攻撃の標的になってしまうため、都度、最新の状態に保っておくか、今後も利用予定がないツールは消去しておくと安全性が高まります。
セキュリティに特化したプラグインの導入
WordPress運用に欠かせない安全性を向上させてくれるツールは、初心者にも使いやすい追加料金のかからないツールも存在します。WordPress運用を利用者が安心・安全に行なっていくためのツールとして、安全性を高めるための、シンプルな操作性を実現したツールが多数取り揃えられています。
さいごに
WordPressセキュリティの重要性
WordPressのセキュリティ強化方法について触れてきました。各種対策を行うことによりWordPress運用は更なる利便性のアップを可能とした汎用性の高いツールになり得ます。
WordPress運用に際しては、上記でお伝えしてきた方法を活用して大切なWordPressを外部から守るとともに、優良サービスには、データのバックアップ管理をしてくれたり、海外から攻撃の標的にされそうな時などは自動で怪しい関与をシャットアウトしてくれるサービスが存在します。WordPress運用に最適なサポート体制でユーザーをフォローしてくれるので、WordPress運用がますますスムーズになります。本稿がWordPressの安全対策においてお役に立てば幸いです。
Webサイトにまつわるセキュリティで最低限注意しておきたい、
最新のサイバー攻撃手法と対応する防御策について要点をまとめた図解解説はこちら
(無料公開中)ホワイトペーパー
「サイバー攻撃の最新手法と防御策とは?〜事例とあわせて解説〜」
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
